Print enheder er en betydeligt overset sikkerhedsrisiko i de fleste virksomheder, på trods af klare beviser for, at de er et let mål for cyberkriminelle.
Moderne netværksprintere er en ofte overset sikkerhedstrussel mod virksomhedens infrastruktur på lige fod med en BYOD uden kendte sikkerhedsforanstaltninger som antivirus samt beskyttelse mod malware. I dag skal en printer, med harddisk og stor hukommelse, håndteres som andre tilsluttede enheder på netværket, hvis ikke den skal være en invitation til hackere, konkurrenter og cyberkriminelle.
Hukommelsen i en printer rummer mange printjobs. Der ligger mange data – også følsomme data – på printerens harddisk. Den er koblet på virksomhedens netværk og er ofte let tilgængelig som en bagdør for cyberkriminelle, konkurrenter og hackere.
Hvad siger tallene?
- 74 % har oplevet angreb/angrebsforsøg inden for de seneste 12 mdr.
- Kun 16 % af virksomhederne ser printerne som en sikkerhedsrisiko
Med andre ord: Virksomheder er under beskydning af ubudne gæster, der vil have adgang til data og måske plante ransomware. Og hackerne har fået øje på, at printerne ofte er det svage led i kæden.
”Mange printere er stadig udstyret med et standard-password, eller har slet ikke noget password. En printer uden et password er en guldgrube for en hacker. Et af de sikkerhedsbrud vi ofte oplever er et ”man-in-the-middle” angreb, hvor hackeren overtager kontrollen med printeren og dermed får adgang til virksomhedens forretningskritiske og/eller personfølsomme data. De kan se alt hvad den administrerende direktør printer”
Hvad kan du gøre?
Udgangspunktet for en optimal printinfrastruktur starter med en behovsafdækning og et overblik over anvendelsen af print. Følgende skal afdækkes før der udarbejdes en sikkerhedspolitik på området og efterfølgende krav til løsningen:
- Organisationen størrelse og hvilket serviceniveau man ønsker at opnå.
- Overblik over hvilke sikkerhedsløsninger, der allerede er implementeret i virksomheden.
- Typer af dokumenter der udskrives. Fortrolighed og personfølsomme oplysninger.
- Konsekvenser af datatab eller at dokumenter kommer i de forkerte hænder.
- Den eksisterende printinfrastruktur.
- Økonomi.
- Kompetencer i IT-organisation.
- Krav fra den overordnede IT-sikkerhedspolitik.
Ofte vil det være formålstjenligt at få hjælp fra eksterne eksperter til afdækning af behov og løsningsforslag. Disse vil ofte kunne identificere sikkerhedsbrister som virksomheden ikke er opmærksomme på.
En proces for behovsafdækning og udarbejdelse af sikkerhedsstrategien bør indeholde følgende:
Konkrete overvejelser i forhold til virksomhedens printløsning
Med udgangspunkt i IT-strategien og IT-sikkerhedspolitikken på print bør følgende konkrete steps gennemføres:
Begræns printernes adgang til netværket
Den optimale sikkerhed opnås når printere afskæres fra resten af IT-infrastrukturen og kun kan kommunikere direkte med en printserver. Brugere kan dermed ikke printe direkte til printeren via deres PC eller mobiltelefon. Spredning af vira, malware, bot's samt jumphosts kan afgrænses til printserveren og kan dermed lettere detekteres og håndteres. Kommunikations protokoller begrænses (fysiske porte på printeren USB etc. og hvilken netværksprotokoller der kan anvendes.
Tillad kun godkendte brugere
Den mest usikre printer er den, hvor brugere anonymt kan printe, scanne og kopiere. Virksomheden har ingen kontrol over, hvem der bruger enheden og dermed ikke noget revisionsspor i forhold til aktivitetslogning. Indfør adgangskontrol via bruger-id og kodeord eller adgangskort og anvend to-faktor autorisation ved udskrivning af meget fortrolige eller personfølsomme dokumenter.
Begræns adgang til printerens funktioner
At en bruger har adgang til en printer, betyder ikke, at alle dens funktioner skal være tilgængelige. Begræns brugerens rettigheder til de funktioner, som arbejdet normalt kræver. Indfør en rollebaseret adgangskontrol med separate rettigheder for administratorer, brugere og servicepersonale
Indfør central administration af alle printere
Politikker og firmware, som automatisk loades på alle enheder, sikrer, at enhederne er opdateret til seneste version. Alle netværk bør automatisk scannes for nye enheder, så de bliver underlagt virksomhedens centrale politik og administration. Desuden bør der være automatisk rapportering og alarmering, hvis der sker afvigelser.
Krypter data til og fra printere
For at sikre data bør datastrømmen til og fra printere og MFP’er krypteres. Specielt når der printes eller scannes personfølsomme data. Dokumenter på printerens harddisk bør også krypteres.
Implementer sikker udskrivning (pull-print)
Dokumenter må ikke ligge frit fremme i printeren eller printerrummet, men bør først kunne printes, når brugeren er fysisk tilstede ved printeren. Der findes en række løsninger der kan sikre at dokumenterne kun kommer i de rette hænder. Typisk vil det også begrænse antallet af udskrevne sider, og dermed bidrage til en bedre print-økonomi.
Indfør regelbaseret print
Regelbaseret print analyserer printjobs før udskrivning, baseret på en række kriterier. For eksempel kan CPR-numre overskrives, så de ikke kan identificeres i den færdige udskrift. Man kan også forhindre, at fortrolige dokumenter udskrives.
Scan og fax kun til sikre destinationer
Begræns, hvilke destinationer emails og fax kan sendes til. Lås scan til email, så der altid sendes til den ind-loggede bruger. Det sikrer, at virksomhedens data ikke sendes fra printeren til uvedkommende personer. Der bør endvidere lukkes for alle printernes analoge fax-linier og i stedet etableres en dedikeret fax-server, så angreb ikke kan ske via den usikre analoge telefonlinie.
Standardiser og integrer netværksscanning
Sikrer sporbarhed som fx identifikation af, hvilke brugere der har scannet dokumenter med personfølsomme oplysninger. Sikrer at scannede dokumenter kan integreres i virksomhedens dokumenthåndteringssystem.
Fysisk sikring af den enkelte enhed
Kryptering af disk, herunder regelmæssig datasletning. Sletning af disk ved udskiftning af enten disk eller printer. Sikring af USB-porte, så uvedkommende ikke kan få adgang til netværket via printerens indbyggede USB-port. Sikring af, at kun autoriseret ekstern partner må servicere printerne.
Monitorering og vedligeholdelse af printløsningen
En løbende opdatering af løsningen er nødvendig som ved alt andet IT-udstyr. Dette er desværre overset hos mange organisationer, som har klare retningslinjer for PC-udstyr, men ikke har samme fokus på printflåden. Skal installationen forblive sikker, skal den automatisk monitoreres for angreb samt holdes opdateret med seneste firmware på printerne. Intelligente printere der selv opdager uregelmæssigheder og dermed lukker ned giver en langt større mulighed for at forbygge datatab.
Etabler en regelmæssig revision af printsikkerhedsstrategien
En periodevis ekstern revision giver god mening for at tilsikre en effektiv og sikker installation.
Øvrige emner der bør overvejes i forhold til printstrategien
IT-organisationer kan umuligt være eksperter på alle områder, og print er langt mere komplekst end det umiddelbart opfattes. Endvidere kan det være svært at rekruttere medarbejdere med de fornødne kompetencer på såvel print som infrastruktur.
Derfor bør man overveje at søge inspiration og viden uden for organisationen for at sikre den optimale løsning.
Skal drift af printinstallationen leveres internt eller kan det outsources? For de færreste virksomheder er print en konkurrenceparameter og kan dermed outsources. Ved at vælge den rigtige partner til outsourcing opnås dels en mere sikker og stabil drift af printinstallationen, dels en omkostningsbesparelse via stordriftsfordele.
Økonomien i forhold til sikkerheden bør vurderes. Hvor sikker en løsning har vi behov for målt op mod værdien? Kan dokumenter f. eks. omdirigeres til andre systemer eller enheder frem for at blive printet?
Printfabrikater omfattes som meget ens i forhold til deres primære opgave. Men der er stor forskel på deres bagvedliggende evner til at håndtere sikkerhed og hvorledes driften kan varetages.